当网络安全人士误入一家大型企业IT系统湿暗的后厨时，往往会感慨“别有洞天”。正如上周末登上娱乐头条的大连车务段，在运输生产电脑用盗版系统安装旧版本Flash。这其实是一种常见的“业务连续性压倒一切”的俄罗斯轮盘赌，如果每届管理者扣动扳机后赞扬其安全性，我们就认为它是安全的，来自安全部门的任何尝试缓解的建议都会是危险、愚蠢且徒劳的。这些比“删库跑路”和APT洋杀手还要凶猛十倍的“高级持续性威胁”，其实不是别人，正是我们自己制造的根深蒂固的企业“暗网”，如今最危险的“暗网漏洞”已经潜伏到每个企业的数字资产中，例如：机器工人。

自动化时代，当我们讨论与人的错误有关的网络安全时，我们讨论的可能只是网络安全的冰山一角。

随着企业向数字化、自动化、智能化的转型，非人类工人的数量正在快速增长。因为越来越多的全球企业在数字化转型计划，优先考虑云计算、DevOps、IoT设备和人工智能，这些技术需要大量非人类工人(我们姑且称之为机器工人，作为知识工人的对照)参与运营。

然而，组织通常仅将访问控制应用于人类(员工、承包商等)，而对与非人类工人相关联的数据泄露、特权账户访问和网络攻击风险视而不见。

此外，当人类员工离职时，通常会有相应的安全流程撤消该员工对系统和数据的访问权限，消除离职员工仍然可以访问系统和数据的风险。

但是，机器员工却不必遵守这样的安全制度。对于许多企业和机构而言，退役的机器工人的访问权限往往保持不变。这就为网络罪犯提供了利用“孤儿账户”进行未经授权访问并发起网络攻击的机会。

显然，企业必须跟踪和管理非人类员工的生命周期。否则，网络罪犯会发起网络攻击，对整个组织造成破坏。

通过使用适当的方法来监视和管理非人类员工的生命周期，组织可以提高运营效率，减少攻击面，并预防与这些实体及其访问相关的网络攻击、数据泄露以及合规性问题。以下，是几种企业安全管理者需要关注的“机器工人”：

服务账号

服务账户通常在操作系统中用于执行应用程序或运行程序。它也可以用来在Unix和Linux上启动程序。服务账户属于特定的服务和应用程序，而不是最终用户。

常见的服务账户类型包括(其中包括)：

• 管理(例如，提供对本地主机或实例或跨指定域的所有工作站和服务器的访问)
• 应用程序(例如，允许应用程序访问数据库、执行批处理任务、运行脚本以及访问其他应用程序)
• 非交互(例如，用于系统进程或服务的交互、运行自动脚本以安排任务)
• 机器人流程自动化(例如，使最终用户能够配置计算机软件也称为“机器人”的技术，该软件模拟并集成了使用数字系统执行业务流程所涉及的人工行为)

服务账户管理不善是全球组织的主要问题。以下是最新的服务账户安全性报告中一些触目惊心的统计信息：

• 73%的组织在将应用程序移至生产环境之前未审核、删除或修改默认服务账户;
• 70%的人无法完全找到他们的账户;
• 40%的人没有尝试找到这些账户;
• 20%的用户从未更改过账户密码。

特别是RPA，无意间为人类和非人类工人创造了新的网络攻击面。用于RPA软件的机器人需要特权访问权限才能登录到ERP、CRM或其他业务系统以执行任务。因此，特权凭证通常直接被硬编码到机器人用来完成执行任务的脚本或流程规则中。

RPA机器人也可以从现成的商业应用程序配置文件或在其他不安全的位置检索凭据。同时，员工也可以共享数据库RPA凭据，因此这些凭据可以轻松地被多个员工重复使用。

如果RPA账户和凭据长时间保持不变，且没有得到适当的保护，则网络犯罪分子可以发起攻击窃取它们。一旦不法分子获得了这些账户和凭据，就可以提升权限并横向移动以访问企业的应用程序、数据和系统。

物联网

物联网设备使组织可以无线连接到网络并传输数据，无需人工或计算机干预。物联网技术的普及推动了自动化、生产力和效率的提高，并且对于包括金融服务、医疗保健、高等教育、制造业和零售业在内的众多行业的组织而言，物联网技术正变得越来越有价值。

业务数据可以存储在物联网设备上，并且这些设备还可以访问敏感的公司和个人数据，如果这些数据落入网络罪犯之手，则容易遭受数据泄露。物联网设备对于制造系统和安全系统的运行也至关重要，其身份和访问权限必须明确，以防无意中被禁用。

但物联网设备如果无法定期更新凭据，或者停用后没有撤销其账户凭证，则会带来网络攻击和数据泄露的风险。此外，如果物联网设备的虚拟助手遭到入侵，则网络罪犯可以检索该助手收集的信息。

聊天和交易机器人(bot)

聊天机器人使用AI以自然语言模拟与最终用户的对话。这种类型的机器人可以在网站、消息传递应用程序或移动应用程序上使用，并且可以促进机器与人之间的通信。

网络罪犯可以将聊天机器人变成“恶意机器人”，用来扫描企业网络以查找将来可能被利用的其他安全漏洞，还可以窃取组织的数据并将其用于恶意目的。恶意机器人还可以伪装成合法的人类用户，并获得对其他用户数据的访问权限。恶意机器人还可以被用来从公共资源和暗网上收集有关目标受害者的数据。

交易机器人能够代表人类客户在特定对话场景中进行交易。交易机器人通常只服务于一个特定目的，具备快速便捷地完成交易的能力，但无法理解对话之外的信息。

但是交易机器人同样也不能“免疫”黑客的网络攻击。如果交易机器人被网络罪犯入侵，会被用来收集客户数据。不法分子还可以用交易机器人进行欺诈性交易，或者阻止企业利用机器人来响应客户的关注、问题和请求。

对机器工人采取全面的生命周期管理方法

对非人类工人的生命周期采用端到端管理方法，可以确保组织在推动数字化转型的同时保护其IT环境。对于尝试在内部、混合和云基础架构上扩展其运营的组织而言，这是当务之急。

实施机器工人生命周期方法之前，组织必须首先识别管理对象和资产。需要回答以下问题：

• 谁构成了我的员工队伍，除了员工，最终用户和供应商?
• 必须管理哪些物联网设备?
• 正在使用哪些机器人?
• 哪些RPA正在用于管理重复性活动?
• 需要监视哪些服务账户?
• 是否必须遵守合规性要求?
• 如何跟踪和管理账户和系统访问?
• 是否有验证程序来验证机器工人的存在，以及如何使用与这些人类员工相关的身份和账户?
• 机器工人及其身份需要多长时间进行审核和重新验证?

接下来，组织必须建立流程、程序和系统，以验证是否为所有机器工人正确分配了适当的访问权限。这要求组织：

• 识别账户和系统中的机器工人;
• 创建流程、程序和系统，以确保所有非人类工人及其相关身份得到密切监控和管理;
• 避免使用特权组，因为如果有内置共享权限的账户被放入组中会产生难以检测的账户滥用情况;
• 进行定期审核，了解如何、何时以及为何使用机器工人及其身份;
• 创建报告并定期审查，这样可以确保将报告用于识别和解决异常的机器工人模式;
• 制定非人为的人工调配和下岗流程，这可减轻产生“孤儿”、未管理或过时非人工账户的风险;
• 利用访问权限管理软件来确保正确设置非人工访问权限并授予适当的权限;

最后，组织必须在工人级别(而不是访问级别)建立并维护所有非人类工人的权威记录。该系统用作管理和监视非人类工人生命周期的统一资源。此举还能降低人为错误、安全风险和合规性违规的风险。

结论

不可否认，不知疲倦、不惧996的机器工人将创造巨大财富，而且在IT环境中广泛应用的趋势不可阻挡。但是组织如何监视和管理非人类工人的身份是关键问题。通过积极主动的方法，组织可以持续监视和管理其非人类工人的身份，提高运营效率，并做好充分的准备，以防止代价高昂的网络攻击和数据泄露事件发生。

总之，今天的组织有充分的技术和方法可以轻松地管理非人类工人的身份生命周期，并根据需要进行审核。通过类似零信任的框架，组织完全可以补上非人类员工生命周期的短板，确保仅在需要时才授予机器工人必要的访问权限，就像对待人类员工一样。

【本文是51CTO专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文